GitHubは現地時間2022年12月15日、「Secret Scanning(シークレットスキャン)」をパブリックリポジトリー利用者へ無償提供すると発表した。同社はリポジトリーをスキャンし、誤ってコミットしたシークレット(認証トークンやAPIキー、秘密鍵など)を確認するSecret ScanningをGitHub Advanced Securityのオプションとして以前から提供しているが、GitHub Enterprise Cloudを使用している組織でのみ利用可能だった。

GitHubのSecurity Scanning(公式ブログより)

GitHubは2020年5月にSecret Scanningをベータとして発表しているが、現在はSecret Scanning Partner Program(シークレットスキャン パートナープログラム)を通じてコードの無効化やアラート通知を行う仕組みである。200を超えるシークレットパターンに対応し、今年2022年は170万を超える潜在的なシークレットを検知して、認証トークンの誤用を抑止してきた。本日から一部利用者にパブリックベータの展開を開始するが、その際は公式ドキュメントを参考に有効化を試みるとよい。また、2023年1月末までにすべてのGitHubユーザーが利用可能になる予定だ。